今週は3本のニュースを取り上げます。FortiClient EMSのゼロデイ脆弱性(CVE-2026-35616)が3月末から悪用されており、該当バージョンを利用中の場合は即時対応が必要です。F5 BIG-IP APMにも認証不要でリモートコード実行が可能な脆弱性(CVE-2025-53521)が確認され、CISAが緊急対応を求めています。また警察庁が令和7年(2025年)のサイバー脅威統計を公表し、フィッシング報告件数が過去最多の245万件超に達しました。
NEWS 01
Fortinet / CISA | 2026年4月4日
FortiClient EMSにゼロデイ脆弱性、3月末から悪用確認済み(CVE-2026-35616)
Fortinetは2026年4月4日、FortiClient EMS(Endpoint Management Server)に深刻な脆弱性(CVE-2026-35616、CVSS 9.1)が存在することを公表し、緊急ホットフィックスを提供しました。この脆弱性は「不適切なアクセス制御」に分類され、認証なしでAPIの保護を迂回し、権限昇格によりリモートから任意のコードを実行される危険性があります。
セキュリティ企業watchTowrによると、この脆弱性に対する攻撃は2026年3月31日から観測されています。米国CISAは4月6日にこの脆弱性をKEV(既知の悪用済み脆弱性)カタログに追加し、連邦政府機関に4月9日までの対応を求めました。
影響を受けるバージョンはFortiClient EMS 7.4.5および7.4.6です。7.2系は影響を受けません。Fortinetはホットフィックスを公開済みで、正式な修正版となる7.4.7のリリースも予定されています。
▌中小企業への影響
FortiClient EMSは、Fortinetのエンドポイントセキュリティ製品「FortiClient」を一元管理するサーバーソフトウェアです。FortiGateと組み合わせて導入している企業は多く、社内PCの管理にFortiClient EMSを使っている場合はこの脆弱性の対象になります。認証なしで外部から攻撃が可能なため、インターネットに公開されたEMSサーバーは特にリスクが高い状態です。
▌推奨対応(即時)
- → FortiClient EMSのバージョンを確認し、7.4.5または7.4.6の場合は直ちにFortinetが提供するホットフィックスを適用する
- → EMSサーバーがインターネットから直接アクセスできる構成になっていないか確認し、可能であればVPN経由のみに制限する
- → EMSサーバーのアクセスログを確認し、3月31日以降に不審なAPI呼び出しがないか調査する
- → Fortinetの正式修正版(7.4.7)が公開された段階で改めてアップデートを実施する
NEWS 02
JPCERT/CC(at260007)/ CISA | 2026年3月27日〜
F5 BIG-IP APMに認証不要のリモートコード実行脆弱性、CISAが緊急対応を要求(CVE-2025-53521)
F5 Networks社のロードバランサー製品「BIG-IP」のAccess Policy Manager(APM)機能に、認証なしでリモートからコードを実行できる深刻な脆弱性(CVE-2025-53521、CVSS 9.8)が確認されました。JPCERT/CCも注意喚起(at260007)を発出しています。
この脆弱性は当初2025年10月にDoS(サービス妨害)脆弱性として公開されていましたが、2026年3月の調査で「認証不要のリモートコード実行(RCE)」に深刻度が引き上げられました。CISAは3月27日にKEVカタログに追加し、実際の悪用を確認済みです。
影響を受けるバージョンはBIG-IP APM 17.x(17.1.0〜17.1.2、17.5.0〜17.5.1)、16.x(16.1.0〜16.1.6)、15.x(15.1.0〜15.1.10)です。修正版は17.1.3、17.5.1.3、16.1.6.1、15.1.10.8として提供されています。アプライアンスモードの環境も影響を受けます。
▌中小企業への影響
BIG-IPはWebアプリケーションの負荷分散やSSL-VPNに使われる製品で、リモートアクセス用途で導入している企業もあります。APM機能を有効にした仮想サーバーが外部から到達可能な場合、認証なしでシステムを乗っ取られるリスクがあります。過去にもBIG-IPの脆弱性は国内企業への侵入に悪用された実績があり、放置は危険です。
▌推奨対応(今週中に実施)
- → 自社でF5 BIG-IPを運用しているか確認する。委託先のシステムインテグレーターに問い合わせて確認するのも有効
- → 該当バージョンの場合はF5が公開したパッチを適用する。パッチ適用が即時困難な場合はAPM機能を一時的に無効化する
- → BIG-IPの管理画面がインターネットに公開されていないか確認し、公開されている場合はアクセスを内部ネットワークに制限する
- → 過去のアクセスログを確認し、3月下旬以降に不審な通信がないか調査する
NEWS 03
警察庁 | 2026年3月10日公表
警察庁が令和7年のサイバー脅威情勢を公表、フィッシング245万件・ネットバンキング被害104億円で過去最悪
警察庁は2026年3月10日、「令和7年(2025年)におけるサイバー空間をめぐる脅威の情勢等について」を公表しました。ランサムウェア被害の報告件数は226件(前年比4件増)で過去2番目の水準となりました。被害企業の6割以上が中小企業で、侵入経路の約9割がVPN機器またはリモートデスクトップ(RDP)経由です。
フィッシング対策協議会への報告件数は245万4,297件(前年比42.9%増)で過去最多を記録しました。インターネットバンキングの不正送金は4,747件・被害額約103億9,700万円に達し、こちらも過去最高額です。フィッシングが不正送金の約9割を占めており、手口の巧妙化が被害拡大の主因と分析されています。
サイバー犯罪の検挙件数は15,108件で過去最高を記録しました。警察庁は生成AIを使ったフィッシングサイトやランサムウェアの作成事例が検挙されていることにも言及し、AI悪用の脅威が現実化していると警鐘を鳴らしています。
令和7年(2025年)サイバー脅威 主要統計
| 項目 |
件数・金額 |
前年比 |
| ランサムウェア被害 |
226件 |
+4件(過去2番目) |
| フィッシング報告 |
245万4,297件 |
+42.9%(過去最多) |
| ネットバンキング不正送金 |
4,747件 / 約104億円 |
過去最高額 |
| サイバー犯罪検挙 |
15,108件 |
過去最高 |
▌中小企業への影響
ランサムウェア被害の6割超が中小企業という数字は前年に引き続き深刻です。侵入経路の9割がVPN・RDP経由であることは、テレワーク環境を「導入したまま放置」しているケースが被害に直結していることを示しています。フィッシングについては、生成AIで日本語の精度が上がっており、従来の「不自然な日本語で見分ける」方法が通用しなくなっています。
▌推奨対応
- → VPN機器のファームウェアが最新版であることを確認する。メーカーのサポートが終了した古い機種は買い替えを検討する
- → RDPをインターネットに直接公開している場合はファイアウォールでポート3389をブロックし、VPN経由のみに変更する
- → ネットバンキングを利用している場合、振込時のワンタイムパスワード・取引通知メールを有効にし、不審な取引がないか週次で確認する
- → フィッシング対策として「メール内リンクからログインしない」ルールを社内に周知する。ブックマークまたは公式アプリからのみアクセスする運用を徹底する
編集部まとめ
今週はネットワーク機器の脆弱性2件と、国の統計データ1件を取り上げました。FortiClient EMSとF5 BIG-IPの脆弱性はいずれも「認証なしで外部から攻撃可能」という共通点があり、該当製品を使っている場合は今週中のパッチ適用が必須です。警察庁の統計では「VPN・RDPが侵入経路の9割」「フィッシング245万件」という数字が出ています。対策の優先順位は明確で、まずVPN機器のファームウェア更新、次にフィッシング対策の社内周知です。
参考情報
- Fortinet「FortiClient EMS - Improper Access Control(FG-IR-26-XXXX)」(2026年4月4日公開)
- CISA「Known Exploited Vulnerabilities Catalog - CVE-2026-35616」(2026年4月6日追加)
- JPCERT/CC 注意喚起 at260007「F5 BIG-IP Access Policy Managerの脆弱性(CVE-2025-53521)に関する注意喚起」
- CISA「Known Exploited Vulnerabilities Catalog - CVE-2025-53521」(2026年3月27日追加)
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(2026年3月10日公表)
- ScanNetSecurity「2025年サイバー犯罪検挙件数 過去最高 15,108件」(2026年3月24日)
secure